Práticas recomendadas para melhorar a segurança dos serviços de área de trabalho remota (porta 3389)

共计 2659 个字符，预计需要花费 7 分钟才能阅读完成。

Práticas recomendadas para melhorar a segurança dos serviços de área de trabalho remota (porta 3389)

O Remote Desktop Protocol (RDP) é um método comum de gerenciar servidores, e sua porta padrão é 3389. Embora isso proporcione comodidade aos usuários, também é um alvo fácil para os invasores. Para proteger efetivamente os servidores contra o abuso de força bruta e outros ataques cibernéticos, é fundamental adotar uma série de medidas de segurança. Este artigo detalhará como aumentar a segurança dos serviços de área de trabalho remota e fornecerá etapas específicas para otimizar as configurações de segurança.

Por que você precisa alterar a porta padrão 3389

Muitos hackers ou malwares procuram alvos vulneráveis examinando portas padrão, como a 3389. Continuar a usar a porta padrão não apenas aumenta a probabilidade de um servidor ser verificado e atacado, mas também pode facilitar a ocorrência de ameaças, como o cracking por força bruta. Ao alterar a porta padrão, você pode reduzir efetivamente as chances de seu servidor ser atacado por ferramentas automatizadas.

Etapas para modificar a porta padrão:

1. Abra o Editor do Registro::
   • Na caixa de diálogo Executar, digite regedit e pressione Enter.
2. Navegue até o seguinte caminho::HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber
3. Modificar o número da porta::
   • localizar PortNumber alterando seu valor da chave padrão 3389 Modificar para outro número de porta desocupado (por exemplo:45678).
4. Atualizar regras de firewall::
   • Certifique-se de que o firewall tenha permitido o acesso ao novo número de porta.
5. reiniciar algo::
   • Reinicie o serviço de área de trabalho remota ou o servidor inteiro para aplicar as alterações.

Senhas fortes e gerenciamento de contas

1. uso de senhas fortes

Senhas fortes são a primeira linha de defesa na proteção de servidores. As senhas fracas são facilmente quebradas por ferramentas de força bruta, o que pode levar à invasão do servidor.

Requisitos de senha forte:

• Não menos que 12 caracteres de comprimento.
• Contém letras maiúsculas e minúsculas, números e caracteres especiais.
• Evite usar palavras de dicionário ou conteúdo relacionado a informações pessoais (por exemplo, aniversários, nomes etc.).

2. desativar as contas padrão

• Desativar o padrão do sistema Administrador de se tornar um alvo preferencial para os invasores.
• Crie uma nova conta com permissões equivalentes, mas com um nome exclusivo.

3. limitar o número de tentativas de login

• Configure um limite para o número de tentativas de login com falha na Política de Grupo para bloquear a conta ou atrasar as tentativas de login depois que o número definido for excedido.
• Evita que os invasores quebrem senhas por força bruta por meio de várias tentativas.

proteção da camada de rede

1. configurar regras de firewall

• Limite o intervalo de endereços IP com permissão para acessar o serviço de Área de Trabalho Remota por meio de regras de grupo de segurança fornecidas pelo Firewall do Windows ou pelos Serviços de Nuvem.
• Por exemplo, somente o acesso IP fixo da rede do escritório é permitido.

2. uso do mapeamento de portas

• Se estiver usando o RDP em um ambiente local, você poderá configurar o encaminhamento de porta por meio do roteador para direcionar o acesso externo a uma porta interna não padrão.
• Isso não apenas melhora a segurança, mas também otimiza a estrutura da rede.

3. ativação da autenticação em nível de rede (NLA)

• Ative a autenticação em nível de rede nas configurações de RDP para garantir que somente usuários autenticados possam iniciar sessões remotas.

Adição do credenciamento multifatorial (MFA)

A ativação da autenticação dupla (2FA) para logins remotos é uma das medidas de segurança mais eficazes disponíveis atualmente. Mesmo que um invasor obtenha um nome de usuário e uma senha, ele ainda não conseguirá fazer login sem um segundo fator de autenticação, como um CAPTCHA dinâmico.

Etapas de configuração:

1. Adicione a MFA usando uma ferramenta de terceiros, como a Duo Security, ou o recurso de autenticação integrado do Windows.
2. Instale e configure o aplicativo cliente apropriado (como o Google Authenticator ou o Microsoft Authenticator).

Aprimoramento da segurança com VPNs

Associe o serviço RDP a um IP da intranet para acessar a área de trabalho remota por meio de uma conexão VPN. O túnel criptografado da VPN aumenta muito a segurança dos dados transmitidos.

Recomendações de configuração:

1. Instalar e configurar um servidor VPN (por exemplo, OpenVPN, WireGuard).
2. Certifique-se de que os usuários se conectem à VPN antes de acessar os serviços RDP na rede interna.
3. Atualizar e manter regularmente o serviço de VPN.

Ferramentas de monitoramento e proteção de registros

1. verifique regularmente o registro de login

• Monitore tentativas suspeitas de login verificando regularmente os registros de login usando o Event Viewer.
• Deve-se tomar medidas imediatas em caso de tentativas fracassadas frequentes.

2. instalação de ferramentas de prevenção de intrusões

• Implante o Fail2Ban ou uma ferramenta semelhante para bloquear automaticamente IPs mal-intencionados por meio da análise de registros.
• Trabalhe com firewalls para bloquear dinamicamente fontes suspeitas.

Resumir e sequenciar a implementação da política de segurança

Para aprimorar totalmente a segurança da área de trabalho remota, é recomendável seguir a seguinte implementação passo a passo:

1. Modifique a porta padrão para reduzir a possibilidade de ser escaneado.
2. Aumente a segurança da conta definindo senhas fortes e desativando as contas padrão.
3. Configure as regras de firewall ou ative as VPNs para permitir apenas o acesso à rede confiável.
4. Adicione a autenticação multifator para acrescentar uma camada extra de proteção ao login.
5. Monitore regularmente os registros e use ferramentas de proteção para bloquear comportamentos mal-intencionados.

Com as medidas acima, seu servidor terá um alto nível de segurança e poderá se defender com eficácia contra os ataques de rede mais comuns.

Primeiro, entre no regedit do registro

E se estiver usando uma conexão remota do seu próprio computador, é igualmente importante prestar atenção à segurança da conexão remota e, em seguida, encontrar o

(HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp)

Ou diretamente no menu Edit - Find, PortNumber e, em seguida, encontre o caractere sintonizado com 10 casas decimais para modificar suas próprias necessidades da porta.

É claro que a última reinicialização do servidor está ok. A porta padrão 3389 não precisa ser adicionada, altere as outras portas e lembre-se de adicionar um número de porta com dois pontos para fazer o login sem problemas!

Diga adeus aos números de porta complexos: DDNS da Cloudflare + certificados TLS + políticas baseadas em regras para acesso remoto seguro com o FlyingNiu NAS.

Tutorial em vídeo do YouTube Clique para entrar No artigo anterior, usamos com sucesso o DDNS da Cloudflare para obter acesso eficiente a nomes de domínio dinâmicos para o Flying Niu NAS, dando adeus às limitações de velocidade da versão gratuita do FN Connect. O gargalo de velocidade foi resolvido [...]

Configuração do servidor NAS Montagem compartilhada SMB/NFS Uso do Windows/UNRAID-NAS

Com o aumento da demanda por armazenamento de dados, cada vez mais pessoas e empresas estão optando por servidores NAS (Network Attached Storage) para armazenar e compartilhar arquivos. Os servidores NAS podem fornecer a uma casa, escritório ou pequena empresa um conjunto de [...]

Um no-break, compartilhamento de vários NAS: Unraid + compartilhamento prático do no-break Santak TG-BOX 850

Na postagem anterior, falamos sobre a importância do UPS para o NAS e como fazer a configuração básica do UPS no Unraid. Na verdade, o Unraid tem um recurso ainda mais poderoso: o modo netserver, que significa deixar o Unraid [...]

Tradução imersiva: tradutor bilíngue de páginas da Web para todas as plataformas, para aprender e usar ao mesmo tempo.

Em nosso uso diário de computadores ou telefones celulares, muitas vezes precisamos acessar várias páginas da Web ou plataformas de gerenciamento, como PVE, Unraid, QunHui NAS, back-end de roteamento etc. Embora a maioria desses sistemas já seja compatível com a interface chinesa, às vezes a expressão original em inglês é mais precisa, especialmente para aprendizado, ajuste e assim por diante. Embora a maioria desses sistemas já ofereça suporte à interface chinesa, às vezes a expressão original em inglês é mais precisa, especialmente no aprendizado, no ajuste [...]...